Przekierowanie w przeglądarce na 95p.com oraz mediashift.com

[bezel85]

Witam,

swój problem rozpocząłem na innym forum, jest on "czytelny" oraz dokładnie przedstawia mój dotychczasowy problem, dlatego też pozwole sobie wstawić link do tego tematu, żeby się nie powtarzać. >>> http://forum.pcforma...com-i-95p-com-t <<<

 

System : Windows 7 64 bit

Dodam logi ze stanu faktycznego :

OTL:

OTL.txt >>> http://wklej.org/id/671551/

Extras.txt >>> http://wklej.org/id/671555/

 

 

SecurityCheck :

 

Checkup.txt >>> http://wklej.org/id/671557/

[picasso]

Cytując co tam się działo:

 

Właśnie wróciłem z pracy, odpalam sprzęt, na początek informacja, że system nie może się uruchomić i zostanie przywrócony do jakiegoś tam dobrego stanu ( nie mogłem nic wybrać, poprostu zatwierdziłem ).

 

System nie mógł startować, ponieważ przypuszczalnie biblioteka ZeroAccess została usunięta BEZ korekty rejestru. Pliku ZeroAccess nie wolno usuwać "na żywca", to kończy się BSOD. Wygląda na to, że ComboFix nie kończy roboty z powodów niesprecyzowanych. To już drugi przypadek na moim forum, gdzie rejestr nie został skorygowany.

Po drugie: reset Winsock oczywiście nie działa, bo ZeroAccess jest czynny. Ten błąd "Nie można załadować następującego pomocnika DLL: WSHELPER.DLL. Nie znaleziono następującego polecenia: winsock reset." nie ma nic wspólnego "ze zniszczeniem systemu", komenda nie działa bo jest przekierowanie i załadowany moduł rootkita:

 

========== Modules (No Company Name) ==========
 
MOD - [2010-11-20 13:19:56 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\syswow64\mswsock.DLL

 

Po trzecie: na tamtym forum nie zauważyli wszystkich składników infekcji. To też należy do zestawu, podrobione "Wireless":

 

SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\ultra66.dll -- (NICSer_WPC300N)

 

Po czwarte: usunięte usługi systemowe, które będą wymagać pełnej rekonstrukcji (wpisy rejestru + odtworzenie uprawnień). Przykładowe błędy z Dziennika zdarzeń na temat skasowania usługi Podstawowy aparat filtrowania (BFE):

 

Error - 2012-01-17 14:45:25 | Computer Name = XXX | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ESET Service z powodu następującego błędu:
   %%2
 
Error - 2012-01-17 14:45:25 | Computer Name = XXX | Source = Service Control Manager | ID = 7003
Description = Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.
 
Error - 2012-01-17 14:45:25 | Computer Name = XXX | Source = Service Control Manager | ID = 7003
Description = Usługa Agent zasad IPsec zależy od następującej usługi: BFE. Ta usługa
 może nie być zainstalowana.
 
Error - 2012-01-17 14:45:30 | Computer Name = XXX | Source = Service Control Manager | ID = 7003
Description = Usługa Udostępnianie połączenia internetowego (ICS) zależy od następującej
 usługi: BFE. Ta usługa może nie być zainstalowana.

 

 

W związku z tym, że system był cofany wstecz, muszę sprawdzić co wróciło na miejsce. Poproszę o skany:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\*. /RP /s

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

 

Przedstaw logi wynikowe.

 

 

 

.

Edytowane 17 Stycznia 2012 przez picasso
Korekta linka do narzędzia Farbar. //picasso

[bezel85]

Log OTL.txt >>> http://wklej.org/id/671679/

 

Log FSS.txt >>> http://wklej.org/id/671697/

[picasso]

ZeroAccess niewątpliwie w formie. Biblioteka consrv.dll jest na dysku i rejestr punktuje jej ładowanie. Dodatkowo, są kompletnie skasowane trzy usługi Windows: Centrum zabezpieczeń, Zapora oraz Podstawowy aparat filtrowania. Rekonstrukcją usług zajmę się dopiero, gdy zostanie odładowany ZeroAccess.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
  00,73,00,72,00,73,00,73,00,2e,00,65,00,78,00,65,00,20,00,4f,00,62,00,6a,00,\
  65,00,63,00,74,00,44,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,00,79,00,3d,\
  00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,68,00,61,00,\
  72,00,65,00,64,00,53,00,65,00,63,00,74,00,69,00,6f,00,6e,00,3d,00,31,00,30,\
  00,32,00,34,00,2c,00,32,00,30,00,34,00,38,00,30,00,2c,00,37,00,36,00,38,00,\
  20,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,3d,00,4f,00,6e,00,20,00,53,\
  00,75,00,62,00,53,00,79,00,73,00,74,00,65,00,6d,00,54,00,79,00,70,00,65,00,\
  3d,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,65,00,72,00,76,\
  00,65,00,72,00,44,00,6c,00,6c,00,3d,00,62,00,61,00,73,00,65,00,73,00,72,00,\
  76,00,2c,00,31,00,20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,\
  00,3d,00,77,00,69,00,6e,00,73,00,72,00,76,00,3a,00,55,00,73,00,65,00,72,00,\
  53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,\
  00,69,00,61,00,6c,00,69,00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,33,00,\
  20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,77,00,69,\
  00,6e,00,73,00,72,00,76,00,3a,00,43,00,6f,00,6e,00,53,00,65,00,72,00,76,00,\
  65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,00,69,00,61,00,6c,00,69,\
  00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,32,00,20,00,53,00,65,00,72,00,\
  76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,73,00,78,00,73,00,73,00,72,00,76,\
  00,2c,00,34,00,20,00,50,00,72,00,6f,00,66,00,69,00,6c,00,65,00,43,00,6f,00,\
  6e,00,74,00,72,00,6f,00,6c,00,3d,00,4f,00,66,00,66,00,20,00,4d,00,61,00,78,\
  00,52,00,65,00,71,00,75,00,65,00,73,00,74,00,54,00,68,00,72,00,65,00,61,00,\
  64,00,73,00,3d,00,31,00,36,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NICSer_WPC300N]
"Start"=dword:00000004
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku wybierz opcję Scal

 

2. Restart systemu.

 

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s

 

Klik w Skanuj.

 

 

.

[bezel85]

Po wpisaniu komendy w CMD:

C:\Windows\system32>netsh winsock reset

Nie można załadować następującego pomocnika DLL: WSHELPER.DLL.

Nie znaleziono następującego polecenia: winsock reset.

 

 

Skan OTL >>> http://wklej.org/id/671762/

[picasso]

Tak, bo ZeroAccess jest nadal czynny. Nie działa import do rejestru, musi zapobiegać temu infekcja. Zmiana metody, usuwanie odbędzie się z poziomu środowiska zewnętrznego.

 

1. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim:

 

SubSystems: [Windows] ==> ZeroAccess
C:\Windows\system32\consrv.dll
C:\Windows\system32\ultra66.dll
C:\Windows\assembly\GAC_64\desktop.ini
NETSVC: NICSer_WPC300N
Reg: reg delete HKLM\SYSTEM\ControlSet001\Services\NICSer_WPC300N /f

 

Plik zapisz pod nazwą fixlist.txt.

 

2. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt.

 

3. Restartujesz do Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset.

 

4. Zrób normalny log z OTL opcją Skanuj. Dołącz też fixlog.txt.

 

 

 

.

[bezel85]

Po wpisaniu komendy w CMD musiałem wykonać restart, czyli domyślam się, że jest dobrze.

 

OTL.txt >>> http://wklej.org/id/671837/

 

Fixlog.txt >>> http://wklej.org/id/671838/

[picasso]

Tak. Pomyślnie wykonanie komendy "netsh winsock reset" oznacza, że ustąpiło przekierowanie rootkit i komenda odwoływała się do komponentu właściwego Windows. Poświadcza to log z OTL, wszystko wyresetowane. Jedna niejasność: założyłam że bieżąca konfiguracja to ControlSet001, a to było ControlSet002, i w konsekwencji usługa NICSer_WPC300N nie została skasowana z rejestru (tylko z wartości NetSvcs usunięta). Co dziwne, nie widzę jej w logu z OTL, ale na wszelki wypadek załączę na usuwanie. Możemy przejść dalej:

 

1. Czyszczenie odpadków po ZeroAccess i niektórych użytych narzędziach, lokalizacji tymczasowych oraz reset pliku HOSTS. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O20 - HKCU Winlogon: Shell - (C:\Users\bezel85\AppData\Local\3e80e5e7\X) - File not found
 
:Services
NICSer_WPC300N
 
:Files
del /q C:\Windows\SysNative\drivers\etc\hosts.20120107-220058.backup /C
rd /s /q C:\FRST /C
rd /s /q C:\Windows\ERDNT /C
 
:Commands
[resethosts]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, log z wynikami usuwania zachowaj.

 

2. Czyszczenie odpadków po ESET (widzę jego foldery na dysku). Skorzystaj z narzędzia ESET Uninstaller.

 

3. Rekonstrukcja brakujących usług: KLIK (Centrum zabezpieczeń) oraz KLIK (podstawowy aparat filtrowania + Zapora systemu Windows).

 

4. Zrób nowy log za pomocą Farbar Service Scanner. Dołącz log z wynikami usuwania OTL z punktu 1.

 

 

 

 

.

[bezel85]

Dzieńdobry,

na początku skorzystałem z deinstalatora Eset. Przypuszczam, że owe resztki to pozostałość po "Eset online scannerze".

Podczas usuwania miałem do wyboru 3 opcje :

1. ESS / EAV / EMSX

2. NODv2

3. SEP

Wybrałem drugą opcje..., co to za dwie pozostałe ? Czyżby to składniki Eset ?

 

Log OTL.txt z pierwszego punktu >>> http://wklej.org/id/672217/

 

Log FSS.txt >>> http://wklej.org/id/672218/

[picasso]

Pomimo, że OTL nie widział usługi ZeroAccess, skrypt OTL ją pomyślnie skasował:

 

========== SERVICES/DRIVERS ==========
Service NICSer_WPC300N stopped successfully!
Service NICSer_WPC300N deleted successfully!

 

Odtworzenie brakujących usług Windows poświadcza log z Farbar Service Scanner.

 

 

Wybrałem drugą opcje..., co to za dwie pozostałe ? Czyżby to składniki Eset ?

 

ESS / EAV / EMSX = ESET Smart Security / Antivirus / Mail Security, NODv2 = stara wersja, SEP = to chyba jest Symantec Endpoint Protection. Program wykrył trzy rodzaje komponentów, toteż rozpraw się z wszystkimi. Powtarzaj czynność, dopóki narzędzie nie zgłosi braku składników. Gdy się z tym uporasz:

 

 

1. Porządkowanie po używanych narzędziach:

• Odinstaluj w prawidłowy sposób ComboFix, klawisz z flagą Windows + R i w Uruchom wklej polecenie: "d:\01 internet - ściągnięte\ComboFix.exe" /uninstall
  
• W OTL uruchom funkcję Sprzątanie (wymagany restart). Oczywiście ręcznie możesz skasować narzędzia serii Farbar.
  

2. Przeprowadź kompleksowy skan systemu potwierdzający czystość. Uruchom mini Kaspersky Virus Removal Tool, w konfiguracji skanera zaznacz wszystkie obszary do sprawdzania. Przedstaw log z wykrytymi zagrożeniami, o ile takowe będą.

 

 

 

 

.

[bezel85]

Nie wiem czy dobrze zrobiłem, odpaliłem narzędzie Kasperskiego w trybie awaryjnym ( tak zrozumiałem )

Log ze skanu : http://wklej.org/id/672476/

Miałem nie usuwać gammacontrol.exe, ale po skanie usunąłem go ręcznie.

Przeskanuje jeszcze raz system, tyle, że w trybie normalnym i zmienie poziom przeszukiwania na wyższy, bo przeoczyłem tą opcje.

 

Edit ...

Czy mogę już przedwcześnie się cieszyć ?

Drugi skan ( "solidniejszy" ) >>> http://wklej.org/id/672976/

[picasso]

Czy mogę już przedwcześnie się cieszyć ?

 

Cieszyć się mogłeś już od momentu zdjęcia bezpośredniego działania ZeroAccess, bo od tego punktu odchodzi tylko "cyzelowanie". Wyniki skanu: wszystko z assembly to pochodna ZeroAccess (usunięte), ale ten gammacontrol.exe niejasny i trudno mi stwierdzić czy to był rzeczywisty wynik. Aktualnie Kaspersky podaje tylko skan pod kątem luk, wskazując programy wymagające aktualizacji. Możemy zamykać sprawę:

 

1. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

2. Wykonaj aktualizacje oprogramowania (Java / Adobe Reader): INSTRUKCJE.

 

3. Zainstaluj antywirusa, bo aktualnie nie widzę nic w systemie. Brak sugeruje jakieś "oszczędzanie" (?). Może Panda Cloud Antivirus?

 

4. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

 

.